Datenschutzerklärung - Portal

1 In aller Kürze

Mit dem Mavie Gesundheitsportal („Portal“) bieten wir Ihnen ein Portal, über die Sie Dienstleistungen im Bereich Mentale Gesundheit buchen oder auch sonstige Leistungen (z.B. Videos zu mentaler Gesundheit) in Anspruch nehmen können. Das Angebot umfasst gezielte Gesundheitsdienstleistungen, wie z.B: die Vermittlung und Bereitstellung psychologischer Betreuung für Mitarbeiter*innen und deren im selben Haushalt lebenden Angehörigen. In diesem Zusammenhang werden Ihre personenbezogenen Daten verarbeitet, vorrangig damit wir Ihre Buchung durchführen können, aber auch damit wir mit Ihnen in Kontakt treten oder um Sie über neue Angebote informieren zu können. Naturgemäß ist damit auch die Verarbeitung Ihrer Gesundheitsdaten verbunden. Da uns der hohe Stellenwert, den Ihre personenbezogenen Daten – insbesondere Ihre Gesundheitsdaten – genießen, bewusst ist, informieren wir Sie im Folgenden näher darüber, wie wir Ihre personenbezogenen Daten ("Ihre Daten") im Zusammenhang mit dem Mavie Gesundheitsportal verarbeiten.

Diese Datenschutzerklärung wird regelmäßig aufgrund der rechtlichen oder technischen Entwicklungen angepasst. Wir informieren Sie über diese Anpassungen über E-Mail. Sollten Sie Fragen hierzu haben, wenden Sie sich bitte an die unter Punkt 2 angeführte Kontaktstelle.

 

2 Wer ist für die Verarbeitung Ihrer Daten verantwortlich?

Für die Datenverarbeitung im Zusammenhang mit dem Portal ist die Mavie Work GmbH(FN 248924s), Rothschildplatz 4 / 6.Stock, 1020 Wien verantwortlich. Bei Fragen zu den hierin beschriebenen Datenverarbeitungen und zur Geltendmachung Ihrer Betroffenenrechte, wenden Sie sich bitte an unsere Datenschutzbeauftragte unter: kontakt@maviework.care

 

3 Welche personenbezogenen Daten werden von uns verarbeitet?

3.1 Was sind personenbezogene Daten?

>Personenbezogene Daten sind grundsätzlich alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören insbesondere E-Mail-Adresse, Firmencode (zur Zuordnung der Firma), Vorname, Nachname, Geschlecht, Geburtsjahr, Arbeitsverhältnis, aber auch Ihre Gesundheitsdaten. Hierzu gehören Angaben zu Ihrem körperlichen und seelischen Zustand. Gesundheitsdaten gehören zu den sogenannten besonderen Kategorien personenbezogener Daten und unterliegen einem besonders hohen Schutzniveau. Welche personenbezogenen Daten konkret verarbeitet werden, erfahren Sie in den folgenden Punkten.

Keiner datenschutzrechtlichen Beschränkung unterliegt die Verwendung von Informationen, die nicht personenbezogen sind, weil in diesen Fällen die Rückführbarkeit der Daten zu einer bestimmten Person nicht mehr möglich ist (sog. anonyme Daten, wie bspw. aggregierte Daten einer Gruppe).

 

 

3.2 Notwendige Datenverarbeitung bei der Nutzung des Portals

3.2.1 Registrierung:

Allgemeines: Um die Funktionen des Portals verwenden zu können, insbesondere um die auf dem Portal angebotenen Dienstleistungen buchen zu können, müssen Sie sich registrieren.

Folgende Daten werden verarbeitet: IP-Adresse des verwendeten Geräts Unternehmenscode, E-Mail-Adresse, Vorname und Nachname (oder ein von Ihnen gewähltes Pseudonym) und Passwort. Soweit Sie bei der Registrierung angegeben haben verarbeiten wir auch: Anrede (Geschlecht), Geburtsjahr und Arbeitnehmereigenschaft Diese Daten werden im Folgenden gemeinsam auch als "Ihre Profildaten" bezeichnet.

Zweck: Die Verarbeitung Ihrer Profildaten ist erforderlich, damit wir unsere Leistungen erbringen können und Ihnen die Buchung der auf unserem Portal angebotenen Dienstleistungen ermöglichen können.

Rechtsgrundlage: Die Verarbeitung Ihrer Profildaten ist zur Durchführung Ihrer getätigten Buchungen erforderlich. Die Verarbeitung erfolgt daher im Rahmen der Erfüllung eines Vertrags gem Art 6 Abs 1 lit. b) DSGVO.

Speicherdauer: Ihre Profildaten speichern wir, solange Sie bei uns einen Account aufrecht erhalten unser Vertrag mit Ihrem Arbeitgeber aufrecht ist oder wir gesetzlich zur Aufbewahrung dieser Daten verpflichtet sind. Spätestens nach 10 Jahren Inaktivität werden wir Ihre Profildaten jedenfalls löschen.

Empfänger / Empfängerkategorien: Siehe Punkt 4.4.

 

3.2.2 Buchungen:

Allgemeines: Sofern Sie Gesundheitsdienstleistungen über unser Portal buchen, kann die Verarbeitung Ihrer Gesundheitsdaten erforderlich sein.

Folgende Daten werden verarbeitet: Neben den unter Punkt 3.2.1 beschriebenen Profildaten, werden die von Ihnen angegebenen Gesundheitsdaten verarbeitet.
Bitte beachten Sie: Bei manchen Buchungen, kann die Wahl des Dienstleistungsangebots bereits Rückschlüsse auf die Gesundheit des Nutzers ermöglichen.

Zweck: Die Verarbeitung Ihrer Gesundheitsdaten ist erforderlich, damit wir unsere Leistungen erbringen können, Ihnen die Buchung der auf unserem Portal angebotenen Gesundheitsdienstleistungen ermöglichen sowie sie allenfalls an getätigte Buchungen erinnern können.

Rechtsgrundlage: Die Verarbeitung Ihrer Gesundheitsdaten erfolgt freiwillig und ausschließlich auf Basis der von Ihnen eingegebenen Daten und Ihres Nutzungsverhaltens. In diesen Fällen findet die Datenverarbeitung auf der Rechtsgrundlage der Gesundheitsvorsorge, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich, aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufs (Art 9 Abs 2 lit h DSGVO) oder im öffentlichen Interesse (iSd Art 9 Abs2 lit i DSGVO) statt, wobei die Daten von Fachpersonal verarbeitet werden, das einer Geheimhaltungspflicht unterliegt.

Speicherdauer: Wir speichern Ihre Daten, solange dies zur Durchführung Ihrer Buchungen notwendig ist.

Empfänger / Empfängerkategorien: Siehe Punkt 4.4.

 

3.2.3 Bearbeitung Ihrer Anfragen

Allgemeines: Sie können bei Fragen zu unserem Unternehmen, unseren Angeboten, dem von uns vermittelten Angeboten Dritter sowie für Anregungen oder Beschwerden direkt über die in Punkt 2. angeführten Kontaktangaben mit uns in Kontakt treten.

Folgende Daten werden verarbeitet: E-Mail-Adresse, Datum und Uhrzeit Ihrer Anfrage, Inhalt Ihrer Anfrage.

Zweck: Wir verarbeiten Ihre Daten, um Ihre Anfrage bearbeiten zu können.

Rechtsgrundlage: Die Bearbeitung Ihrer Anfrage ist zur Erfüllung unserer vertraglichen Verpflichtungen erforderlich. Die Verarbeitung erfolgt daher gem. Art 6 Abs 1 lit. b DSGVO.

Speicherdauer: Wir speichern Ihre Daten, solange dies zur Bearbeitung Ihrer Anfrage notwendig ist oder wir gesetzlich zur Aufbewahrung dieser Daten verpflichtet sind.

Empfänger / Empfängerkategorien: Siehe Punkt 4.4.

 

3.2.4 Unterstützung hinsichtlich mentaler Gesundheit

Allgemeines: Sie können auf unserem Portal einen Test zu Ihrer mentalen Gesundheit vornehmen. Auf Basis dieser Testergebnisse schlagen wir Ihnen Videos oder auch Dienstleistungen vor, die sie auf unserem Portal buchen können.

Folgende Daten werden verarbeitet: Die von Ihnen im Rahmen des Tests angegebenen Daten (Antworten).

Zweck: Wir verarbeiten Ihre Daten, um den Test durchführen und Ihnen geeignete Videos und Dienstleistungen im Zusammenhang mit mentaler Gesundheit vorschlagen zu können.

Rechtsgrundlage: Die Verarbeitung Ihrer Daten erfolgt für gesundheitsbezogene Zwecke und stützt sich daher auf Art. 9 Abs. 2 lit. h DSGVO.

Speicherdauer: Wir speichern Ihre Daten, solange dies zur Bearbeitung Ihrer Tests und zum Anbieten von Videos und Dienstleistungen erforderlich ist.

Empfänger / Empfängerkategorien: Siehe Punkt 4.4.

 

3.3 Optionale Datenverarbeitung bei der Nutzung des Portals

3.3.1 Newsletter und elektronische Bewerbung

Allgemeines: Wir verarbeiten Ihre Daten auch, um Sie über weitere von uns angebotene Dienstleistungen zu informieren. Beispielsweise würden wir Ihnen über das Portal Informationen zukommen lassen, wenn sich das Dienstleistungsspektrum erweitert. Ebenso würden wir Ihnen einschlägige Newsletter mit gesundheitsfördernden Informationen über das Portal (auch E-Mail) zukommen lassen.

Folgende Daten werden verarbeitet: Benutzername, E-Mail-Adresse.

Zweck: Wir verarbeiten Ihre Daten, um Ihnen Informationen zu den über das Portal angebotenen Leistungen und unseren Newsletter zuzusenden.

Rechtsgrundlage: Um Ihnen die Informationen über unser zusätzliches Leistungsangebot zukommen lassen zu können, fragen wir Sie gesondert um Ihre Einwilligung (Art 6 Abs 1 lit a DSGVO, § 174 TKG). Diese Einwilligung erteilen Sie uns freiwillig. Das bedeutet, Sie können Ihre Einwilligung auch jederzeit widerrufen und wir werden Ihnen dann keine Newsletter mehr zusenden.

Speicherdauer: Wir speichern Ihre Daten zur Zusendung dieser Informationen und zur Übermittlung des Newsletters so lange, bis Sie Ihre Einwilligung widerrufen.

Empfänger / Empfängerkategorien: Siehe Punkt 4.4. Wir nutzen allenfalls die Dienste weiterer Auftragsverarbeiter zur technischen Abwicklung.

 

4 Auftragsverarbeiter

Wir sind für die Erbringung unseres Dienstes auf Dienstleister angewiesen, die uns bei der Organisation und Bereitstellung unseres Angebots unterstützen. Diese Dienstleister haben mit uns einen Auftragsverarbeitungsvertrag gemäß Art 28 DSGVO abgeschlossen und dürfen personenbezogene Daten daher nur in unserem Auftrag verarbeiten. Hierbei unterstützt uns vor allem die folgenden

  • InnoCraft/Matomo
  • Truendo
  • Merkle
  • Microsoft
  • Move Effect

 

4.1. InnoCraft/Matomo:

Wir verwenden Matomo als ein Produkt von Innocraft Ltd, Neuseeland, als Webanalyse Dienst um unsere Services für Sie zu verbessern. Die Matomo Analytics Cloud dient der Analyse des Benutzerverhaltens auf unserer Webseite und unserer App und hilft bei der Erstellung von Statistiken. Dabei werden von Matomo als unseren Auftragsverarbeiter mit dem wir einen Auftragsverarbeitungsvertrag gem Art 28 DSGVO abgeschlossen haben, folgende personenbezogene Daten automatisch erhoben: anonymisierte IP-Adresse des Nutzers, optionale Benutzer-ID, Datum und Uhrzeit der Anfrage, Titel und URL der betrachteten und der vorher aufgerufenen Seite, die verwendete Bildschirmauflösung, die Zeit in der Zeitzone des lokalen Benutzers, angeklickte und heruntergeladene Dateien, Links zu einer fremden Domain, die angeklickt wurden, Seitengenerierungszeit (die Zeit, die Webseiten benötigen, um vom Webserver generiert und dann vom Benutzer heruntergeladen zu werden: Seitengeschwindigkeit), ungefährer Standort des Benutzers (Land, Region, Stadt, ungefährer Breiten- und Längengrad), verwendete Sprache des Browsers, User Agent des verwendeten Browsers.

Zwischen Neuseeland und der Kommission besteht ein Angemessenheitsbeschluss gemäß Art 45 DSGVO, dass ein angemessenes Schutzniveau bietet.

 

4.2. Truendo:

Truendo ist ein Consent Management Tool, das wir ebenfalls auf der Webseite und unserer App einsetzen, um die Zustimmung der Nutzer zu bestimmten Diensten abzufragen und zu dokumentieren. Truendo ist ein österreichisches Unternehmen und als Auftragsverarbeiter gem Art 28 ebenso unseren Weisungen unterworfen. Es wird daher beim Aufruf der Webseite bzw. Öffnen der App ein Truendo Cookie im Browser des Endgeräts des Nutzers gesetzt. Dieses Cookie kommuniziert nur mit Truendo und dient dazu festzustellen, ob ein Nutzer seine Einwilligung erteilt und für welchen Zweck diese erteilt wurde. Dieses Cookie speichert die Unique Consent ID des Nutzers („Privacy ID“) um die Einwilligung des Nutzers mit den von Truendo gespeicherten Einwilligungen zu verknüpfen. Dabei werden die anonymisierte IP-Adresse, der Standort (auf Länderebene), die Browsereigenschaften (Typ, Sprache, Version), die Geräteeigenschaften (Typ, Betriebssystem, Bildschirmauflösung), Privacy ID, das Einwilligungsverzeichnis und der Zeitstempel verarbeitet.

 

4.3. Merkle:

Die Merkle GmbH ist ein IT-Dienstleister und stellt in unserem Auftrag und in unserem Namen das Portal technisch bereit. Die Entwicklung durch Merkle umfasst dabei die User-Registrierung und das Login, die Mavie Themenwelt, die Beraterbuchungen und „Meine Themen“ sowie den ISR Test (validierter Fragebogen zur Einordnung der Ausprägung bestimmter Symptomatiken). Datenschutzrechtlich sind sie somit unsere Auftragsverarbeiter und als solche haben wir Merkle vertraglich zur Einhaltung geltender Datenschutzgesetze und Datensicherheitsstandards gemäß Art 28 DSGVO verpflichtet. Merkle darf Ihre Daten nur entsprechend unseren Weisungen verarbeiten.

 

4.4. Microsoft:

Als Portalanbieter nutzen wir für das Portal den Cloud Service von Microsoft Ireland Operations Limited, One Microsoft Place, Dublin, D 18 P 521, Irland, wobei die Daten innerhalb der Europäischen Union nur verschlüsselt gespeichert werden, wobei die Aufhebung der Entschlüsselung nur durch uns möglich ist. In seltenen Fällen erfolgt auch eine Übermittlung in Länder außerhalb der Europäischen Union. Zur Sicherstellung der Angemessenheit in Bezug auf die Rechte und Freiheiten natürlicher Personen wurden daher mit Microsoft Standardvertragsklauseln gemäß Art 46 DSGVO sowie zusätzliche vertragliche Verpflichtungen zur Gewährleistung eines mit der EU vergleichbaren Datenschutzniveaus zugesichert. Um globale, nationale, regionale und branchenspezifische Vorschriften einzuhalten, unterstützen die Microsoft Cloud-Lösungen mehr als 90 regulatorische Standards und Gesetze, einschließlich ISO 27001, ISO 27018, ISO 27701, SOC 1,2 und 3, C5, TISAX, KRITIS, BAIT und andere.

Microsoft stellt sicher, dass personenbezogene Daten nur auf Anweisung des Verantwortlichen, also uns, verarbeitet werden: dies gilt auch im Hinblick auf deren Übermittlung.

Darüber hinaus findet keine Datenübermittlung an Dritte statt.

 

4.5. Move Effect:

Die Gesundheitsplattform Moveeffect dient dem betrieblichen Gesundheitsmanagement und kann einerseits über das von den Nutzer:innen genutzte Mobiltelefon oder über den Webbrowser verwendet werden. Zu diesem Zweck können die Nutzer:innen ein Profil in der Gesundheitsplattform anlegen und in diesem Zusammenhang gesundheitsfördernde Aktivitäten oder die Teilnahme an gesundheitsfördernden Veranstaltungen (z.B. Läufen oder Kursen) aufzeichnen bzw. bereits bestehende Trackingtools mit anderen Anbietern damit verbinden.

Nutzer*innen können auf ihrer Profilseite nach den dort möglichen Einstellungen selbst entscheiden, in welchem Umfang Informationen zu Aktivitäten für andere in welcher Form ersichtlich gemacht werden.

 

Welche Rechte haben Sie und wie können Sie sie ausüben?

Sie können jederzeit Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen. Falls wir Daten zu Ihrer Person verarbeiten, die unrichtig oder unvollständig sind, können Sie deren Berichtigung oder Vervollständigung verlangen. Sie können auch die Löschung unrechtmäßig verarbeiteter Daten verlangen. Bitte beachten Sie aber, dass dies nur auf unrichtige, unvollständige oder unrechtmäßig verarbeitete Daten zutrifft. Wir ersuchen Sie zu beachten, dass diese Rechte einander ergänzen, sodass Sie nur entweder die Berichtigung bzw. Vervollständigung Ihrer Daten oder deren Löschung verlangen können.

Ist unklar, ob die zu Ihrer Person verarbeiteten Daten unrichtig oder unvollständig sind oder unrechtmäßig verarbeitet werden, können Sie die Einschränkung der Verarbeitung Ihrer Daten bis zur endgültigen Klärung dieser Frage verlangen.

Auch wenn die Daten zu Ihrer Person richtig und vollständig sind und von uns rechtmäßig verarbeitet werden, können Sie der Verarbeitung dieser Daten in besonderen, von Ihnen begründeten Einzelfällen widersprechen. Basiert die Verarbeitung Ihrer personenbezogenen Daten auf einer Interessenabwägung (Art 6 Abs 1 lit f DSGVO: berechtigte Interessen), haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen. Wir ersuchen Sie bei Ausübung Ihres Widerspruchsrechts, uns Ihre Gründe darzulegen, weshalb wir Ihre personenbezogenen Daten nicht wie von uns durchgeführt verarbeiten sollten. Wir prüfen die Sachlage und stellen entweder die Datenverarbeitung ein oder passen sie an oder zeigen Ihnen unsere zwingenden schutzwürdigen Gründe auf und führen die Datenverarbeitung fort. Wir führen die Datenverarbeitung auch dann fort, wenn sie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

Der Datenverarbeitung für die Zwecke der Direktwerbung können Sie jederzeit widersprechen. In diesem Fall stellen wir die Datenverarbeitung ein. Jene Daten, die wir aufgrund Ihrer (ausdrücklichen) Einwilligung verarbeiten, können Sie grundsätzlich jederzeit widerrufen, wobei der Widerruf die Rechtmäßigkeit der Verarbeitung bis zum Widerruf nicht berührt. Die Details zum Widerruf Ihrer Einwilligung im Zusammenhang mit der Verarbeitung Ihrer Gesundheitsdaten entnehmen Sie bitte Punkt 3.2.2.

Sie können die von uns zu Ihrer Person verarbeiteten Daten, sofern wir diese von Ihnen selbst erhalten haben, in einem von uns bestimmten, maschinenlesbaren Format erhalten oder uns mit der direkten Übermittlung dieser Daten an einen von Ihnen gewählten Dritten beauftragen, sofern dieser Empfänger uns dies aus technischer Sicht ermöglicht und der Datenübertragung weder ein unvertretbarer Aufwand noch gesetzliche oder sonstige Verschwiegenheitspflichten oder Vertraulichkeitserwägungen von unserer Seite oder von dritten Personen entgegenstehen (Datenübertragung).

Bei all Ihren Anliegen ersuchen wir Sie uns unter den unter Punkt 2 ausgewiesenen Kontaktdaten zu kontaktieren, wobei wir Sie hierbei mitunter um einen Nachweis Ihrer Identität, etwa durch Übermittlung einer elektronischen Ausweiskopie, ersuchen.

Auch wenn wir uns bestmöglich um den Schutz und die Integrität Ihrer Daten bemühen, können Meinungsverschiedenheiten über die Art, wie wir Ihre Daten verwenden nicht ausgeschlossen werden. Sind Sie der Ansicht, dass wir Ihre Daten in nicht zulässiger Weise verwenden, so steht Ihnen das Recht auf Beschwerdeerhebung bei der österreichischen Datenschutzbehörde offen.

 

Stand Februar 2024

 

Ihr Mavie Team